Об ошибках безопасности, обнаруженных в веб-приложениях, используемых онлайн-сервисами от Adobe, можно теперь сообщить конфиденциально к компании через недавно начатую программу раскрытия уязвимости.

Подчинение обработано через платформу HackerOne, которая является выбором многих уважаемых организаций как Dropbox, Vimeo, Sucuri, Твиттера, CloudFlare, Академии Хана, Yahoo!, OpenSSL, Питон, PHP, Перл или Руби.

Проблемы утверждены участником PSIRT

Список затруднений, имеющих право на новый проект Adobe, включает сценарии поперечного места (XSS), подделку запроса поперечного места (CSRF) в привилегированном контексте, выполнение кода стороны сервера, идентификацию или недостатки разрешения, слабые места инъекции, директивные недостатки пересечения и ошибки неверной конфигурации безопасности.

Adobe заявляет, что охотнику на жуков признают за их открытие, если они первые, чтобы сообщить о нем, и не делает общественное раскрытие прежде, чем позволить достаточному количеству времени разработчиков решать проблему.

После сообщения о слабости это требуется, чтобы предоставлять четкие указания в том, как это может быть воспроизведено. Все подчинение проверено членом PSIRT (Команда Реагирования на инциденты безопасности продукта).

Adobe предупреждает, что его продукты, предназначенные для настольного использования (Flash player, Читатель), не делают объект этой программы раскрытия уязвимости.

Денежные вознаграждения не могут быть даны

Неясно, доступны ли финансовые вознаграждения. В коротком сообщении в блоге, изданном в среду, менеджер по программе обеспечения безопасности PSIRT Питер Окерс не упомянул денежных призов и сказал, что у охотников на жуков есть шанс раскрыть проблемы, которые они находят, “повышая их счет репутации HackerOne”.

Большинство компаний с программой сообщения уязвимости платит за действительные ошибки, которые могли подвергнуть опасности безопасность их продуктов.

Недавний выпуск стабильной версии Google Chrome 41 включил решение в общей сложности 51 проблемы безопасности, некоторые из них сообщаемый внешними исследователями; Google заплатил приблизительно $52 000 / 47 000 за их усилие и частное подчинение.

В 2014 Facebook заплатил $1,3/1,15 миллиона за действительные уведомления о безопасности, полученные от третьих лиц. Google потратил $1,5/1,35 миллиона в прошлом году через его Премиальную Программу Уязвимости.

Эта стратегия оказалась эффективным способом простимулировать различных исследователей безопасности, чтобы проверить продукты и таким образом достигнуть цели предложения лучшей защиты клиентам, использующим их.